微软确认其近期发布的 Windows 更新存在一个严重问题，可能导致部分计算机在登录、远程访问或网络资源共享时遭遇身份验证失败。受影响的系统包括 Windows 11 版本 24H2 和 25H2，以及 Windows Server 2025（自2025年8月29日起发布的更新版本）。

这一问题的根源在于一项旨在提升安全性的新机制——对安全标识符（Security Identifier, SID）唯一性的强制校验。

什么是SID？为何重复SID会引发问题？

SID（Security Identifier）是Windows系统中用于唯一标识用户、组和计算机账户的字符串。它在权限控制、访问资源和身份认证过程中起着核心作用，比用户名更具底层安全性。

长期以来，一些IT管理员在部署多台设备时，为节省时间，会通过直接复制系统镜像的方式批量部署Windows，而未正确使用微软推荐的 Sysprep（系统准备）工具 来重置SID。这导致多台设备拥有完全相同的SID，形成“克隆冲突”。

过去，这种重复SID虽不推荐，但系统仍可运行。

然而，从 2025 年 8 月 29 日 开始，微软在更新中引入了更严格的安全检查机制，主动检测并阻止具有相同SID的设备之间的身份验证，以防范潜在的横向移动攻击和身份伪造风险。

具体影响与症状

一旦设备安装了2025年8月29日或之后发布的更新，具有重复SID的系统将可能出现以下问题：

无法登录本地账户或域账户，即使输入正确密码

远程桌面连接（RDP）失败，提示“登录尝试失败”或“凭据无效”

访问共享文件夹、打印机等网络资源时出现 “访问被拒绝”

显示错误信息如：

“登录失败 / 您的凭据不起作用”

“用户名或密码不正确”

“计算机ID存在部分不匹配”

在事件查看器中，可观察到以下关键日志：

错误代码：SEC_E_NO_CREDENTIALS

来源：本地安全机构服务器服务（LSASS）

日志内容：检测到机器 ID 中存在部分不匹配。这表示票证已被修改或属于不同的系统启动会话。

问题根源：错误的系统克隆方式

微软明确指出，该问题主要出现在以下场景：

使用 Sysprep 工具时未正确执行，或直接复制已安装的Windows系统进行批量部署，导致多台设备拥有相同的SID。

微软强调：

“在安装2025年8月29日及以后发布的更新后，克隆 Windows 11 24H2、25H2 和 Windows Server 2025 时，必须确保 Sysprep 正确生成唯一的 SID。”

解决方案建议

长期解决方案：重新使用Sysprep创建唯一SID

微软建议系统管理员采取以下措施：

对所有受影响的设备重新运行 Sysprep 工具，并确保选择 “通用化”（Generalize） 选项。

使用正确的镜像部署流程（如通过MDT或SCCM），确保每台设备获得唯一的SID。

避免直接复制系统磁盘或使用第三方克隆工具而不重置SID。

临时变通方案（仅限企业用户）

微软表示，目前没有公开的组策略或注册表开关可直接关闭此安全检查。但企业客户可通过联系 Microsoft 企业支持 获取一个特殊组策略模板，临时缓解问题，以便有时间重新部署系统。

⚠️ 注意：该策略仅为过渡方案，不建议长期使用，因其可能削弱系统安全性。

这并非微软第一次因安全更新引发认证问题：

2025 年 4 月：一次安全更新导致域控制器出现 Kerberos 认证失败，后通过紧急补丁修复。

2025 年 10 月早些时候：微软发布指南，解决智能卡登录在部分 Windows 10/11 和 Server 系统上的兼容性问题。

微软此次更新体现了其对系统安全性的持续强化，但也提醒我们：规范的系统部署流程，是保障稳定运行的基础。在享受自动化部署效率的同时，切勿忽视SID唯一性这一“老生常谈”却至关重要的安全原则。